Come posso ascoltare il traffico di un IP remoto usando Wireshark? (Man in the Middle)
Come posso ascoltare il traffico di un IP remoto usando Wireshark? (Man in the Middle)
Se stai utilizzando una porta di span su un interruttore o qualcosa di simile (hub, wifi), puoi vedere tutto il traffico. In wireshark puoi quindi impostare un filtro di visualizzazione come:
ip.src == 10.43.54.65 or ip.dst == 10.43.54.65
Se per telecomando intendi "sulla mia LAN locale ma non io", la risposta è probabilmente; Se per telecomando si intende "su una LAN remota", la risposta è "No, non con Wireshark". Dovresti cercare qualcosa come un probe di rete con funzionalità RMON.
Potresti utilizzare una Span o una porta Mirrored come indicato da Lucas oppure puoi forzare lo switch ad iniziare a inoltrarti i pacchetti in vari modi.
Prima di continuare con più di una risposta per la possibilità n. 1, lasciatemi dire chiaramente che ciò che sto suggerendo dovrebbe essere fatto solo con il permesso e inizialmente in un ambiente di test. Non farlo potrebbe essere illegale, magari farti licenziare e magari anche far cadere i sistemi.
Un metodo consiste nell'iniziare a inviare pubblicità di archi non richiesti che la macchina il cui traffico si desidera annusare si trovi effettivamente nel tuo indirizzo MAC. Prima di avviare un test di questo tipo, tuttavia, è necessario verificare di aver abilitato l'inoltro sul proprio sistema e quindi di inoltrarli attivamente all'indirizzo MAC originale. Questo può essere ottenuto creando una voce ARP statica nella tabella ARP locale per l'host che stai sniffando. Se non si esegue questa operazione, il sistema "mangia" i pacchetti e l'host che si sta sniffando non sarà in grado di ricevere i pacchetti.
Un secondo metodo consiste semplicemente nel generare un numero molto elevato di risposte ARP non richieste, cercando di ignorare la tabella CAM nello switch. Questi in genere superano circa 4096 indirizzi. A seconda del dispositivo, lo switch inizierà a trasmettere tutto il traffico a tutte le porte.
È possibile utilizzare uno strumento come Yersinia o Ettercap per effettuare entrambe queste strategie.
Le due risposte precedenti sono assolutamente corrette: no. Vorrei semplicemente aggiungere che il MOTIVO che hanno ragione è questo: il modo in cui Wireshark funziona (e non è MITM, comunque) è semplicemente "ascolta" qualsiasi pacchetto che è stato "inviato" al router, e quindi "li riceve". Non interferisce mai con il router o con il mittente. Devi essere almeno abbastanza vicino al router per "ricevere" i pacchetti che gli vengono inviati. La maggior parte dei router inoltre crittografa automaticamente il proprio traffico su qualsiasi macchina connessa ad essi, quindi è più che probabile che sia necessario collegarsi alla rete di destinazione. Odio deludere.
Se si ha accesso alla macchina remota è possibile ottenere questo risultato installando un software di acquisizione dei pacchetti (ad esempio tcpdump) sulla macchina remota e reindirizzando l'output del software attraverso un canale stabilito (ad es. SSH) nell'istanza locale di Wireshark. Inutile dire che dovresti filtrare il traffico delle pipe sul software di acquisizione dei pacchetti per evitare di impantanare il sistema remoto.
Leggi altre domande sui tag wireshark man-in-the-middle